在您的环境中部署 Automation Config 和 Salt 时,请使用以下建议的安全性最佳做法和准则。
Salt 安全性
请查阅以下指南,以确保在基础架构中实施 Salt 时您的环境遵循最佳做法:
不活动时自动注销
可以将自动注销设置为低至 1 分钟,长至 60 分钟。默认情况下,设置为 30 分钟。有关修改此项和其他首选项的详细信息,请参见 Automation Config 术语。
权限
确保限制对以下任务的访问权限。有关定义权限的详细信息,请参见如何定义用户角色。
作业创建和编辑
限制用户对创建和编辑作业的访问权限。这些特权允许用户在系统中运行任何命令。这些权限与目标创建和编辑权限结合运用,使用户能够在任何工作节点上运行任何命令。
目标创建和编辑
限制用户对创建和编辑目标的访问权限。这些特权与作业创建和编辑权限结合运用,使用户能够在系统中的任何工作节点上运行可用作业。
角色创建和编辑
限制用户对创建和编辑角色的访问权限。这些特权使用户能够为自己分配系统中的任何特权。
加密凭据
API (RaaS) 访问凭据
通过公钥身份验证(默认),而不是通过用户名身份验证,将 Salt 主节点连接到 API (RaaS)。
数据库凭据
将 PostgreSQL 和 Redis 的数据库凭据存储在加密文件中,而不是以纯文本形式存储。
有关凭据存储的详细信息,请参见在配置中保护凭据安全。